Política de privacidad

Skeldy SAS (Skeldy SAS, 12 rue de la Paix, 75002 París, Francia) es el responsable del tratamiento de los datos personales recogidos a través de Skeldy. Sociedad inscrita en Francia, RCS París (número a confirmar tras la inscripción).

Para consultas de privacidad: [email protected]. Para el Delegado de Protección de Datos (DPO): [email protected].

Recogemos el mínimo imprescindible para operar el servicio. Las categorías son:

• Datos de cuenta — nombre, correo, rol, pertenencia a la organización.
• Datos de planificación — turnos, secciones, cualificaciones, disponibilidad, preferencias.
• Comunicaciones — mensajes, comentarios, traducciones de difusiones dentro del producto.
• Datos de facturación — gestionados por Stripe; recibimos solo metadatos no sensibles (4 últimos dígitos de la tarjeta, país).
• Analítica de producto — vistas de página, clics, uso. Solo con consentimiento explícito.
• Datos técnicos — dirección IP, user agent, registros de solicitudes (30 días por seguridad).

Cada tratamiento responde a una finalidad concreta y a una base legal del artículo 6 del RGPD:

Prestación del servicio

Ejecución del contrato (Art. 6.1.b). Incluye la creación de cuenta, la planificación, la reconfiguración asistida por IA, la traducción de difusiones y los controles de cumplimiento.

Facturación e impuestos

Obligación legal (Art. 6.1.c) y ejecución del contrato.

Seguridad y prevención de abusos

Interés legítimo (Art. 6.1.f). Incluye registros de auditoría, limitación de tasa, detección de fraude.

Analítica y mejora del producto

Consentimiento (Art. 6.1.a). Puede retirarse en cualquier momento desde el banner o /cookies.

Atención al cliente

Ejecución del contrato e interés legítimo.

El producto se aloja en infraestructura europea. Los datos de producción residen en eu-central-1 (Fráncfort). Nuestros encargados:

• Supabase (base de datos, autenticación, almacenamiento) — eu-central-1.
• Vercel (alojamiento web) — regiones UE, configuración Vercel Pro EU.
• Resend (correo transaccional) — región UE.
• Stripe (pagos) — UE y EE. UU., Cláusulas Contractuales Tipo en vigor.
• Google LLC (API de Google AI — inferencia LLM, texto y visión) — infraestructura global; residencia de datos UE no garantizada contractualmente. Condiciones: business.safety.google/sar/
• Sentry (monitorización de errores) — instancia UE.
• PostHog (analítica de producto, opt-in) — eu.posthog.com.
• Nango (conectores POS / PMS) — región UE cuando esté disponible.

Cuando un transferimiento fuera de la UE/EEE sea inevitable, recurrimos a las Cláusulas Contractuales Tipo (Decisión 2021/914) y a medidas técnicas adicionales (cifrado en tránsito y en reposo, control de acceso por roles, registros de auditoría).

⚠ Nota: La API de Google AI (aistudio.google.com) no garantiza contractualmente la residencia de datos en la UE. Los datos procesados por el asistente de planificación IA pueden procesarse en la infraestructura global de Google. Esto difiere de nuestro acuerdo anterior con Vertex AI europe-west4. Estamos evaluando un retorno a infraestructura de IA en región UE. Si esto afecta sus requisitos de cumplimiento, contáctenos en [email protected].

• Datos de cuenta — durante la suscripción, más 30 días tras la baja.
• Datos de planificación — durante la suscripción, más 30 días; exportación posible vía endpoint RGPD.
• Registros de auditoría — 13 meses (seguridad y litigios).
• Documentos de facturación — 10 años (Código de comercio francés).
• Fotos del Audit de Cumplimiento Gratuito — cifradas y eliminadas automáticamente tras 1 hora.
• Eventos de analítica — 12 meses, solo con consentimiento.

Tiene derecho de acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento, así como a retirar el consentimiento en cualquier momento sin afectar al tratamiento previo lícito.

Puede ejercerlos desde su cuenta, mediante los endpoints RGPD autoservicio (/api/gdpr/export entrega un archivo JSON con sus datos; /api/gdpr/delete programa la supresión sujeta a las excepciones de conservación legal), o escribiendo a [email protected]. Respondemos en un mes, prorrogable dos meses adicionales para solicitudes complejas con notificación.

Puede presentar una reclamación ante la AEPD (España, www.aepd.es) o ante la autoridad de control de su residencia habitual, lugar de trabajo o lugar de la presunta infracción — por ejemplo CNIL (Francia), BfDI (Alemania), Garante (Italia) o Information Commissioner's Office (Reino Unido).

Si su Director General o Responsable de Sección le invita a Skeldy, recibimos su nombre, correo, rol y asignación de sección por su parte y no directamente por usted (Art. 14 RGPD). La base legal es el interés legítimo de la organización en operar su planificación, ponderado con sus intereses mediante esta información y los derechos siguientes. Puede oponerse en cualquier momento contactando a su Director General o escribiéndonos.

Las funciones IA de Skeldy (verificación de cumplimiento, reconfiguración de planificación, difusión multilingüe, OCR de fotos para la Auditoría Gratuita) proponen resultados; nunca aplican automáticamente cambios que afecten a sus turnos. Un Director General o Responsable de Sección revisa y confirma siempre antes de la publicación. No está sometido a una decisión basada exclusivamente en tratamiento automatizado en el sentido del Art. 22(1) RGPD.

Si considera que una sugerencia de la IA aplicada por su responsable le ha afectado injustamente, tiene derecho a obtener una explicación, impugnar la decisión y solicitar una nueva revisión humana. Contacte primero con su Director General; si la situación persiste, escríbanos.

Skeldy es una plataforma B2B de gestión de equipos y no está dirigida a menores. Cuando se planifican empleados menores de edad (con mayor frecuencia aprendices de 16-17 años), el Director General es responsable de confirmar la autorización parental cuando lo exija la legislación nacional. El motor de cumplimiento de Skeldy aplica automáticamente las restricciones por país para menores (sin turnos nocturnos, descansos obligatorios, límites semanales). No recopilamos a sabiendas datos personales de niños por debajo de la edad nacional de consentimiento digital sin autorización parental.

Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256). Seguridad a nivel de fila (RLS) en cada tabla. Control de acceso jerárquico (Director General, Responsable de Sección, Personal). Registros de auditoría en cada acción privilegiada. Pruebas de penetración anuales. Ruta SOC 2 Tipo 1 en curso.

Las vulnerabilidades pueden notificarse confidencialmente a [email protected].

Avisamos a los clientes por correo con al menos 14 días de antelación a cualquier cambio material. La fecha en la cabecera refleja la versión vigente.